アラートタイプ | アラート名 | 説明 |
永続化 | 不審な自己起動アイテム | 脅威検出モデルは、サーバー上の一部の自己起動アイテムが不審であることを検出しました。 これらのアイテムは、マルウェアまたは攻撃者によって永続化を実現するために追加された可能性があります。 |
不審なバックドア | 脅威検出モデルは、サーバー上で WMI または bitsadmin バックドアを検出しました。 このようなバックドアは、サーバーが侵害された後、攻撃者がシステム権限を維持するために残した可能性があります。 |
メモリ内の異常なコード | 脅威検出モデルは、サーバー上のプロセスのメモリに悪意のある命令を検出しました。 このプロセスは、攻撃者によって残されたマルウェア、または悪意のあるコードが挿入されたプロセスである可能性があります。 |
異常なプロセス | 脅威検出モデルは、サーバー上で実行されているプログラムに異常なプロセスが存在することを検出しました。 これらのプロセスは、悪意のあるプロセス、または悪意のあるコードをロードしたプロセスである可能性があります。 |
異常なレジストリ構成 | 脅威検出モデルは、サーバー上で不審なレジストリ構成を検出しました。 ほとんどの場合、一部の重要なレジストリ構成は、マルウェアによって変更されて永続化を実現したり、妨害動作を実行したりする可能性があります。 |
異常な自己起動アイテム | 脅威検出モデルは、サーバー上で異常な自己起動アイテムを検出しました。 自己起動アイテムは、マルウェアまたは攻撃者によって永続化を実現するために追加された可能性があります。 |
Cobalt Strike RAT | 脅威検出モデルは、サーバー上のプロセスのメモリに Cobalt Strike RAT の悪意のあるコードを検出しました。 このプロセスは、悪意のあるプロセス、または悪意のあるコードが挿入されたプロセスである可能性があります。 |
悪意のあるスクリプト | 悪意のあるスクリプトコードの実行 | 脅威検出モデルは、Bash、PowerShell、Python などの悪意のあるスクリプトコードがサーバー上で実行されたことを検出しました。 |
悪意のあるスクリプトファイルの検出 | 脅威検出モデルは、サーバー上で悪意のあるスクリプトファイルを検出しました。 このファイルは、サーバーに侵入した攻撃者によって挿入された可能性があります。 悪意のあるスクリプトのタグに基づいてファイルの内容が正当かどうかを確認することをお勧めします。 その後、ファイルを処理します。 |
マルウェア | 悪意のあるプログラム | 脅威検出モデルは、悪意のあるプログラムがサーバー上で実行されていることを検出しました。 悪意のあるプログラムとは、さまざまな悪意のある動作特性を持つプログラム、または中断や損傷を引き起こすサードパーティプログラムです。 |
悪意のある IP アドレスへのアクセス | 脅威検出モデルは、サーバー上のプロセスが悪意のある IP アドレスに接続しようとしていることを検出しました。 この IP アドレスは、C&C サーバーの IP アドレス、または攻撃者によって悪用されるマイニングプールの IP アドレスである可能性があり、リスクが高くなります。 このプロセスは、攻撃者によって挿入された悪意のあるファイルである可能性があります。 |
感染性ウイルス | 脅威検出モデルは、感染性ウイルスがサーバー上で実行されていることを検出しました。 感染性ウイルスは、高度な悪意のあるプログラムの一種です。 ウイルス自体は、実行のために通常のプログラムファイルに悪意のあるコードを書き込みます。 したがって、多数の通常のプログラムが感染し、ウイルスホストとして検出されることがよくあります。 |
攻撃者ツール | 脅威検出モデルは、サーバー上で攻撃者ツールを検出しました。 攻撃者ツールとは、攻撃者が侵入プロセス中に権限を昇格させ、機密データを盗むために悪用するツール、セキュリティソフトウェアをアンインストールするために使用されるプログラム、または攻撃者がサーバーに侵入した後にシステムに挿入されるバックドアプログラムです。 |
バックドアプログラム | 脅威検出モデルは、バックドアプログラムがサーバー上で実行されていることを検出しました。 バックドアプログラムは、システムに挿入され、攻撃者によってサーバーに継続的に侵入するために悪用される永続的なプログラムです。 |
不審なプログラム | 脅威検出モデルは、不審なプログラムがサーバー上で実行されていることを検出しました。 ほとんどの場合、不審なプログラムは悪意のあるコードの特性を持っているか、非常に不審で分類が必要なプログラムの特性を持っています。 コードまたはプログラムの詳細に基づいて不審なプログラムを判断する必要があります。 |
ランサムウェア | 脅威検出モデルは、ランサムウェアがサーバー上で実行されていることを検出しました。 ランサムウェアは、サーバー上のすべての重要なデータファイルを暗号化してロックし、身代金を得るための悪意のあるプログラムです。 |
エクスプロイト | 脅威検出モデルは、エクスプロイトがサーバー上で実行されていることを検出しました。 エクスプロイトは、オペレーティングシステムとアプリケーションの既知の脆弱性を悪用して、権限を昇格させ、エスケープを実装し、任意のコードを実行します。 |
トロイの木馬 | 脅威検出モデルは、サーバー上でトロイの木馬を検出しました。 トロイの木馬は、サーバーに侵入するために使用される特別なプログラムです。 トロイの木馬は偽装してシステムに挿入された後、悪意のあるプログラムをダウンロードしてリリースします。 |
ワーム | 脅威検出モデルは、ワームがサーバー上で実行されていることを検出しました。 ワームは、侵害されたサーバーから別のサーバーに拡散するために自身を複製するプログラムの一種です。 ワームは脆弱性を悪用し、ブルートフォース攻撃を開始する可能性があります。 |
マイニングプログラム | 脅威検出モデルは、マイニングプログラムがサーバー上で実行されていることを検出しました。 マイニングプログラムは、サーバーの計算リソースを消費して暗号通貨をマイニングするプログラムの一種です。 このタイプのプログラムは、CPU 使用率が非常に高く、悪意のあるプログラムをもたらします。 |
自己変異型トロイの木馬 | 脅威検出モデルは、自己変異型トロイの木馬がサーバー上で実行されていることを検出しました。 自己変異型トロイの木馬は、ファイルハッシュを変更するか、多数のパスに自身を複製し、バックグラウンドで実行されます。 このようにして、システムによってクリーンアップされるのを回避します。 |
DDoS トロイの木馬 | 脅威検出モデルは、DDoS トロイの木馬がサーバー上で実行されていることを検出しました。 DDoS トロイの木馬は、侵害されたサーバーから命令を受信して、特定のサーバーに対して DDoS 攻撃を開始するために使用される悪意のあるプログラムです。 |
Hashdump の実行 | 脅威検出モデルは、Windows Credentials Editor (WCE) や minikazi などのマルウェアがサーバー上で実行されていることを検出しました。 このようなマルウェアは、システムアカウントのハッシュ値を盗む可能性があり、パスワードの漏洩につながります。 |
不審なプロセス | Windows での不審なスケジュールされたタスクの作成 | 脅威検出モデルは、サーバー上で不審なスケジュールされたタスクが作成されたことを検出しました。 考えられる原因は、マルウェアまたは攻撃者が侵入プロセス中に権限を維持するためにタスクを作成したことです。 |
リスクツールの呼び出し | 脅威検出モデルは、サーバー上でリスクツールの不審な呼び出しを検出しました。 リスクツールは、攻撃者がサーバーに侵入するために悪用するプロキシ、トンネル、またはスキャンツールとして使用できます。 |
WMIC を使用した不審なプロセスの実行 | 脅威検出モデルは、サーバーが WMIC を使用してプログラムを作成および実行しようとしていることを検出しました。 考えられる原因は、攻撃者がサーバーが侵害された後、システム権限を維持するために WMIC タスクを作成したことです。 |
悪意のあるダウンロードソースへの接続 | 脅威検出モデルは、サーバーが悪意のあるダウンロードソースに接続しようとしていることを検出しました。 考えられる原因は、攻撃者が弱いパスワードまたはコマンド実行の脆弱性を悪用して、リモートサーバーから悪意のあるファイルをダウンロードしたことです。 |
高リスクアプリケーションによって実行された不審なコマンド | 脅威検出モデルは、サーバー上の高リスクアプリケーションが不審なコマンドを実行したことを検出しました。 高リスクアプリケーションは、Web サービス、データベースサービス、スクリプト、スケジュールされたタスク、または自己起動アイテムである可能性があります。 これらのアプリケーションは侵害され、攻撃者によって悪意のあるコマンドを実行するために使用された可能性があります。 |
高リスクアプリケーションでの不審なファイルの作成 | 脅威検出モデルは、Web アプリケーションなどの機密性の高いサービスがサーバー上で実行可能ファイルまたはスクリプトを作成したことを検出しました。 考えられる原因は、攻撃者が脆弱性を悪用して、ウイルスまたはトロイの木馬をサーバーに埋め込んだことです。 |
不審なスクリプト操作 | 脅威検出モデルは、サーバー上で実行されているスクリプトに関連する一部のコマンドが非常に不審であることを検出しました。 検出された脅威は、マルウェアまたは攻撃者によって引き起こされた可能性があります。 |
不審なプロセスパス | 脅威検出モデルは、サーバー上のプロセスが、通常のソフトウェアがインストールされていない異常なパスから開始されたことを検出しました。 このプロセスは、ウイルス、トロイの木馬、または攻撃者がサーバーに侵入したときにもたらされるツールである可能性があります。 |
不審なファイル名のプロセス | 脅威検出モデルは、サーバー上のプロセスのファイルに不審なファイル名拡張子が含まれているか、ファイル名がシステムファイルの名前を模倣していることを検出しました。 このプロセスは、ウイルス、トロイの木馬、または攻撃者がサーバーに侵入したときにもたらされるツールである可能性があります。 |
不審なポートリスニング | 脅威検出モデルは、サーバー上で不審なポートリスニングを検出しました。 攻撃者はサーバーに侵入した後、nc などのソフトウェアを使用してポートリスニングを行います。 このようにして、攻撃者はサーバーから情報を盗むための隠された通信チャネルを確立します。 |
不審なコマンド | 脅威検出モデルは、サーバー上の情報収集コマンドが不審であるか、実行中のプロセス間の呼び出しが不審であることを検出しました。 これは、トロイの木馬、ウイルス、または攻撃者に関連している可能性があります。 |
不審なファイルの実行 | 脅威検出モデルは、サーバー上のファイルが不審な方法で書き込まれ、実行されたことを検出しました。 このファイルは、外部ソースからダウンロードされ、攻撃者によって実行された悪意のあるツールである可能性があります。 |
レジストリ構成への不審な変更 | 脅威検出モデルは、プロセスがサーバー上のレジストリ構成を変更しようとしていることを検出しました。 考えられる原因は、攻撃者がサーバーにバックドアコードを書き込んだか、攻撃者がシステム権限を取得した後に機密構成を変更したことです。 |
不審なコマンドシーケンス | 脅威検出モデルは、サーバー上のプロセスが不審なコマンドのシーケンスを実行したことを検出しました。 これらのコマンドは、サーバーが侵害された後に攻撃者が通常実行するコマンドのシーケンスに似ています。 不審なコマンドの親プロセスを確認することをお勧めします。 親プロセスは、リモートコントロールトロイの木馬、脆弱な Web サービス、または悪意のあるコードが挿入されたプロセスである可能性があります。 |
データダンプ用の ProcDump | 脅威検出モデルは、ProcDump プロセスがプロセスメモリに保存されている機密データをサーバー上のディスクに保存していることを検出しました。 この保存操作により、機密データが侵害される可能性があります。 |
BITSAdmin を使用した不審なプロセスの起動 | 脅威検出モデルは、BITSAdmin ツールを使用してサーバー上で不審なプロセスが開始されていることを検出しました。 考えられる原因は、攻撃者が BITSAdmin ツールを使用して悪意のあるプログラムをサーバーに埋め込み、悪意のあるコマンドを実行したことです。 |
Windows システムファイルを使用した悪意のあるコードのロード | 脅威検出モデルは、悪意のあるコマンドがサーバー上で実行されていることを検出しました。 考えられる原因は、攻撃者が Windows システムファイルを使用して悪意のあるコードを実行し、セキュリティソフトウェアの検出を回避したことです。 |
自己起動アイテムへの不審な変更 | 脅威検出モデルは、プロセスがサーバー上の自己起動アイテムを変更しようとしていることを検出しました。 変更は、攻撃者またはトロイの木馬によってシステム権限を維持するために行われた可能性があります。 |
attrib.exe を使用したファイルの読み取り専用属性と隠し属性の変更 | 脅威検出モデルは、プロセスが attrib.exe を使用してサーバー上のファイルの読み取り専用属性と隠し属性を変更しようとしていることを検出しました。 |
システムレジストリへの自己起動アイテムの追加 | 脅威検出モデルは、プログラムがサーバー上のレジストリに自己起動アイテムを追加していることを検出しました。 このプログラムは、マルウェア、バックドアが挿入されたプロモーションソフトウェア、またはサーバーが侵害された後に攻撃者によって挿入された永続的なタスクである可能性があります。 このプログラムは、通常のソフトウェアによって自己起動を実現するためにも使用されている可能性があります。 プログラムが信頼できるプログラムかどうかを確認することをお勧めします。 |
FTP を使用したリモートサーバーからディスクへの不審なファイルダウンロード | 脅威検出モデルは、プロセスがサーバー上の FTP を使用してリモートサーバーから不審なファイルをダウンロードしようとしていることを検出しました。 |
RDP を使用したディスクへの不審なファイルコピー | 脅威検出モデルは、攻撃者が RDP を使用してサーバーに不審なファイルをコピーしようとしていることを検出しました。 考えられる原因は、攻撃者がサーバーにログインするために使用される RDP パスワードを盗んだか、クラックしたことです。 |
システムバックアップファイルの異常な削除 | 脅威検出モデルは、プロセスがサーバーからシステムバックアップファイルを削除しようとしていることを検出しました。 考えられる原因は、ランサムウェアがファイルの復元を妨げ、身代金を要求するためにシステムバックアップファイルを削除したことです。 |
システムログの異常な削除 | 脅威検出モデルは、プロセスがシステムログを削除しようとしていることを検出しました。 考えられる原因は、マルウェアまたは攻撃者が検出を回避するためにシステムログを削除したことです。 |
不審な攻撃者ツール | 脅威検出モデルは、サーバー上で実行されている一部のコマンドが、攻撃者が通常使用するツールと非常によく似ていることを検出しました。 これらのコマンドは、侵入プロセス中に攻撃者によって実行される可能性があります。 |
Windows での不審な権限昇格 | 脅威検出モデルは、サーバー上で実行されている一部のコマンドが非常に不審であることを検出しました。 考えられる原因は、攻撃者が Windows システムの脆弱性またはアプリケーションの脆弱性を悪用して権限を昇格させたことです。 |
異常なレジストリ操作 | 脅威検出モデルは、Windows レジストリを管理するために使用された一部のコマンドが非常に不審であることを検出しました。 考えられる原因は、マルウェアまたは攻撃者がサーバーが侵害された後に一部のレジストリ構成を変更したことです。 |
データベースエクスポートツールの不審な呼び出し | 脅威検出モデルは、サーバー上のプロセスの履歴動作を分析し、データベースエクスポートツールの不審な呼び出しを検出しました。 考えられる原因は、サーバーが侵害された後、攻撃者がサーバーからデータを盗んだことです。 |
システムツールの不審な呼び出し | 脅威検出モデルは、サーバー上のプロセスが不審な方法でシステムツールを呼び出していることを検出しました。 考えられる原因は、トロイの木馬または攻撃者がツールを呼び出して、悪意のあるファイルのダウンロード、悪意のあるコードの実行、暗号化、復号などの悪意のある操作を実行し、一般的なセキュリティソフトウェアの検出を回避したことです。 |
システムセキュリティ構成への不審な変更 | 脅威検出モデルは、サーバー上のプロセスがシステムのセキュリティ構成を変更していることを検出しました。 考えられる原因は、マルウェアまたは攻撃者がファイアウォールとアンチウイルスソフトウェアの構成を変更して検出を回避したことです。 |
悪意のあるコマンドの実行 | 脅威検出モデルは、サーバー上のプロセスのコマンドラインデータが非常に不審であることを検出しました。 これは、トロイの木馬、ウイルス、または攻撃者に関連している可能性があります。 |
Cobalt Strike によって実行された悪意のあるコマンド | 脅威検出モデルは、Cobalt Strike エージェントがサーバーにインストールされ、Cobalt Strike エージェントが悪意のあるコマンドを実行していることを検出しました。 |
FTP アプリケーションによって実行された不審なコマンド | 脅威検出モデルは、サーバー上の FTP アプリケーションが不審なコマンドを実行したことを検出しました。 考えられる原因は、攻撃者が FTP アプリケーションの弱いパスワードを悪用し、FTP を使用してバッチファイルを実行したことです。 |
Java アプリケーションによって実行された不審なコマンド | 脅威検出モデルは、サーバー上の Java プロセスが悪意のあるプログラムのダウンロードやバックドアの追加などの高リスク操作を実行したことを検出しました。 考えられる原因は、脆弱な Web フレームワークまたはミドルウェアを使用していることです。 |
LSASS によって実行された不審なプロセス | 脅威検出モデルは、lsass.exe プロセスがサーバー上で不審なコマンドを実行したことを検出しました。 lsass.exe プロセスは、Windows オペレーティングシステムのセキュリティ認証プロセスです。 このプロセスはユーザーを認証し、トークンを生成します。 攻撃者は複数のシステムの脆弱性を悪用して、このプロセスに対してバッファオーバーフロー攻撃を開始し、ターゲットプロセスの完全な制御権限を取得します。 |
MySQL によって実行された不審なコマンド | 脅威検出モデルは、サーバー上の MySQL サービスが不審なコマンドを実行したことを検出しました。 考えられる原因には、MySQL サービスの弱いパスワードと、SQL ステートメントが挿入された Web サービスが含まれます。 |
PostgreSQL アプリケーションによって実行された不審なコマンド | 脅威検出モデルは、サーバー上の PostgreSQL アプリケーションが不審なコマンドを実行したことを検出しました。 考えられる原因には、PostgreSQL サービスの弱いパスワードと、悪意のある SQL ステートメントが挿入された Web サービスが含まれます。 |
Python アプリケーションによる不審なコマンドの実行 | 脅威検出モデルは、サーバー上の Python アプリケーションが不審なコマンドを実行したことを検出しました。 考えられる原因は、サーバー上の Python ベースの Web アプリケーションに RCE の脆弱性があり、侵害されたことです。 |
regsvr32 によって実行された不審なコマンド | 脅威検出モデルは、regsvr32.exe がサーバー上で不審なコマンドを実行していることを検出しました。 考えられる原因は、攻撃者が Windows OCX ファイルに悪意のあるコードを挿入して検出を回避し、regsvr32.exe を使用してサーバーのメモリでコードを実行したことです。 |
rundll32 によって実行された不審なコマンド | 脅威検出モデルは、rundll32.exe がサーバー上で不審なコマンドを実行していることを検出しました。 考えられる原因は、攻撃者が Windows DLL ファイルに悪意のあるコードを挿入して検出を回避し、rundll32.exe を使用してサーバーのメモリでコードを実行したことです。 |
SQL Server によるディスクへの不審なファイル書き込み | 脅威検出モデルは、サーバー上の SQL Server アプリケーションが不審なファイルをディスクに書き込もうとしていることを検出しました。 考えられる原因は、攻撃者が Redis アプリケーションの弱いパスワードをクラックして、SQL Server アプリケーションで悪意のある SQL ステートメントを実行したことです。 |
SQL Server アプリケーションによって実行された不審なコマンド | 脅威検出モデルは、サーバー上の SQL Server アプリケーションが不審なコマンドを実行したことを検出しました。 考えられる原因は、攻撃者が SQL Server アプリケーションの弱いパスワードをクラックし、SQL Server アプリケーションのコマンド実行コンポーネントを使用して悪意のあるコマンドを実行したことです。 |
Tomcat によって実行された不審なコマンド | 脅威検出モデルは、サーバー上の Tomcat コンテナが不審なコマンドを実行したことを検出しました。 考えられる原因は、攻撃者が Tomcat コンテナの Java アプリケーションの Webシェルまたは RCE の脆弱性を悪用して悪意のあるコマンドを実行したことです。 |
Windows Defender 構成の変更 | 脅威検出モデルは、サーバーがレジストリを変更して Windows Defender の一部の機能を無効にしていることを検出しました。 変更操作は、サーバーが侵害された後、検出と防止を回避しようとした攻撃者によって実行された可能性があります。 |
ポート 3389 の Windows RDP 構成の変更 | 脅威検出モデルは、サーバーの RDP 構成が変更されていることを検出しました。 考えられる原因は、攻撃者がサーバーが侵害された後、権限を維持するために RDP 構成を変更したことです。 |
Windows でのスケジュールされたタスクの作成 | 脅威検出モデルは、サーバー上で不審なスケジュールされたタスクが作成されていることを検出しました。 考えられる原因は、攻撃者がサーバーが侵害された後、権限を維持するためにサーバーにバックドアを挿入したことです。 |
Windows での不審なサービススタートアップアイテムの作成 | 脅威検出モデルは、アップストリームプロセスがサーバー上で不審なサービススタートアップアイテムを作成しようとしていることを検出しました。 考えられる原因は、攻撃者がサーバーに悪意のあるプログラムを挿入したことです。 悪意のあるプログラムが実行されている場合、サービススタートアップアイテムは権限を維持するために作成されます。 |
Windows でのログオンプログラムの侵害 | 脅威検出モデルは、サーバー上の一部のプログラムがレジストリの WDigest 項目を変更したことを検出しました。 考えられる原因は、攻撃者が UseLogonCredential の値を変更して、ログオンプログラムをプレーンテキストで保存できるようにしたことです。 このようにして、攻撃者はサーバーのメモリからログオンプログラムを盗むことができます。 |
Windows での mshta を使用した HTML スクリプトの実行 | 脅威検出モデルは、サーバー上のプロセスが mshta を呼び出して HTML ページに埋め込まれたスクリプトを実行しようとしていることを検出しました。 このようにして、攻撃者はサーバーに悪意のあるプログラムを埋め込むことができます。 |
Windows での不審なポートフォワーディング | 脅威検出モデルは、内部ネットワークでポートフォワーディングのためのコマンドが実行されていることを検出しました。 考えられる原因は、攻撃者が内部ネットワークでラテラルムーブメント攻撃を開始していたことです。 |
Windows ファイアウォール構成の変更 | 脅威検出モデルは、プロセスが Windows ファイアウォールの構成を変更しようとしていることを検出しました。 |
Windows での自己起動アイテムの追加 | 脅威検出モデルは、異常な自己起動アイテムがサーバーに追加されたことを検出しました。 考えられる原因は、攻撃者がサーバーが侵害された後、権限を維持するために悪意のあるプログラムを自己起動アイテムに追加したことです。 |
Windows アカウントの異常な操作 | 脅威検出モデルは、Windows アカウントを使用してサーバーで操作が実行され、実行されているコマンドが不審であることを検出しました。 考えられる原因は、マルウェアまたは攻撃者が Windows アカウントを使用してサーバーで操作を実行したことです。 |
その他 | セキュリティセンターエージェントの異常な切断 | 脅威検出モデルは、サーバー上のセキュリティセンターエージェントのメインプロセス AliYunDun が異常に停止し、エージェントが Alibaba Cloud から切断されたことを検出しました。 切断はネットワークの不安定性が原因である可能性があり、短時間続きます。 もう 1 つの考えられる原因は、サーバーが侵害された後にセキュリティセンターエージェントがサーバーからアンインストールされたことです。 この場合、サーバーにログインして、セキュリティセンターエージェントが実行されているかどうかを確認する必要があります。 エージェントが実行されていない場合は、エージェントを起動します。 |
Webシェル | Webシェルファイル | 脅威検出モデルは、サーバー上で不審な Webシェルファイルを検出しました。 Webシェルファイルは、攻撃者が Web サイトに侵入した後に権限を維持するために挿入および使用されるバックドアファイルである可能性があります。 |
異常なログイン | 悪意のある IP アドレスを使用したログイン | 脅威検出モデルは、悪意のある IP アドレスを使用してサーバーにログインしたことを検出しました。 この IP アドレスは攻撃を開始するために使用されました。 この操作を実行しなかった場合は、ECS インスタンスにログインするために使用されるパスワードをすぐに変更することをお勧めします。 |
悪意のある IP アドレスを使用した FTP ログイン | 脅威検出モデルは、悪意のある IP アドレスを使用してサーバー上の FTP アプリケーションにログインしたことを検出しました。 この IP アドレスは攻撃を開始するために使用されました。 この操作を実行しなかった場合は、FTP アプリケーションにログインするために使用されるパスワードをすぐに変更することをお勧めします。 |
悪意のある IP アドレスを使用した MySQL ログイン | 脅威検出モデルは、悪意のある IP アドレスを使用してサーバー上の MySQL アプリケーションにログインしたことを検出しました。 この IP アドレスは攻撃を開始するために使用されました。 この操作を実行しなかった場合は、MySQL アプリケーションにログインするために使用されるパスワードをすぐに変更することをお勧めします。 |
悪意のある IP アドレスを使用した SQL Server ログイン | 脅威検出モデルは、悪意のある IP アドレスを使用してサーバー上の SQL Server アプリケーションにログインしたことを検出しました。 この IP アドレスは攻撃を開始するために使用されました。 この操作を実行しなかった場合は、SQL Server アプリケーションにログインするために使用されるパスワードをすぐに変更することをお勧めします。 |
バックドアアカウントを使用したサーバーログイン | 脅威検出モデルは、攻撃者がサーバーにバックドアアカウントを挿入し、バックドアアカウントを使用してサーバーにログインしたことを検出しました。 この操作を実行しなかった場合は、バックドアアカウントをすぐに削除することをお勧めします。 |
弱いパスワードのアカウントを使用したサーバーログイン | 脅威検出モデルは、弱いパスワードのアカウントを使用してサーバーにログインしたことを検出しました。 このログインは、自分または攻撃者によって実行される可能性があります。 ほとんどの場合、攻撃者は弱いパスワードをクラックしてサーバーに侵入します。 強力なパスワードをすぐに設定することをお勧めします。 |
不審な外部ログインスキャン | 脅威検出モデルは、サーバーが SSH、RDP、SMB などのプロトコルに対してブルートフォース攻撃を頻繁に開始したことを検出しました。 考えられる原因は、サーバーが攻撃され、攻撃者によって他のサーバーを攻撃するために使用されたことです。 |
異常な場所からのログイン | 脅威検出モデルは、サーバーが短期間のうちに互いに遠く離れた 2 つの場所からログインされたことを検出しました。 場所の 1 つは通常のログイン場所です。 異なる場所からのログインは、ログインリクエストの 1 つが通常の場所ではなく異常な場所から開始されたことを示しています。 この操作を実行しなかった場合は、サーバーにログインするために使用されるパスワードをすぐに変更することをお勧めします。 |
異常なアカウントを使用したログイン | 脅威検出モデルは、管理者グループに異常なアカウントを追加し、そのアカウントを使用してサーバーにログインしたことを検出しました。 この操作を実行しなかった場合は、アカウントをすぐに削除することをお勧めします。 |
複数の無効なユーザーによって開始されたブルートフォース攻撃による ECS インスタンスの侵害 | 脅威検出モデルは、複数の無効なユーザーが同じ IP アドレスを使用してサーバーにログインしたことを検出しました。 この操作を実行しなかった場合は、ECS インスタンスにログインするために使用されるパスワードをすぐに変更することをお勧めします。 |
SSH へのブルートフォース攻撃による ECS インスタンスの侵害 | 脅威検出モデルは、サーバーが SSH へのブルートフォース攻撃を受けていることを検出しました。 攻撃者は SSH サービスパスワードをクラックし、数回試行した後、サーバーにログインしました。 |
不審なコマンドシーケンス実行前の SSH 経由の ECS インスタンスログイン | 脅威検出モデルは、IP アドレスを使用してサーバーにログインした後、サーバー上でいくつかの悪意のあるコマンドが実行されたことを検出しました。 考えられる原因は、サーバーにログインするために使用されるパスワードが弱いか、漏洩していることです。 |
異常な時間範囲内での ECS インスタンスへのログイン | サーバーがログインされた時刻が、指定したログイン時間範囲内ではありません。 ログインが有効かどうかを確認することをお勧めします。 |
異常なアカウントを使用した ECS インスタンスへのログイン | サーバーにログインするために使用されるアカウントが、正当なアカウントの条件と一致しません。 ログインが有効かどうかを確認することをお勧めします。 |
異常な IP アドレスを使用した ECS インスタンスへのログイン | サーバーにログインするために使用される IP アドレスが、指定した IP アドレスの範囲内ではありません。 ログインが有効かどうかを確認することをお勧めします。 |
異常な場所からの ECS インスタンスへのログイン | サーバーがログインされた場所が、指定したログイン場所の範囲内ではありません。 ログインが有効かどうかを確認することをお勧めします。 |
異常なネットワーク接続 | ポートフォワーディング | 脅威検出モデルは、サーバー上のプロセスがポートフォワーディング用のトンネルを設定しようとしていることを検出しました。 考えられる原因は、攻撃者が侵害されたサーバーを使用して、同じ内部ネットワークにデプロイされている他のサーバーを攻撃したことです。 |
悪意のあるドメイン名へのアクセス | 脅威検出モデルは DNS トラフィックを分析し、サーバーが高リスクドメイン名を解決したことを検出しました。 ドメイン名は、リモートコントロールのドメイン名、ボットネット組織のドメイン名、マイニングプールアドレスなどの悪意のあるドメイン名である可能性があります。 この場合、攻撃者がサーバーに侵入してサーバーを悪用した可能性があります。 |
Meterpreter を使用したリバースシェル接続 | 脅威検出モデルは、サーバー上で不審なプロセスを検出しました。 このプロセスは、攻撃者のサーバーのリバースシェル接続を確立して、Meterpreter を使用してサーバーでより多くの操作を実行しようとしていました。 詳細については、「複数のディメンションからリバースシェルを検出する」をご参照ください。 |
マイニングプールとの通信 | 脅威検出モデルは、サーバーがマイニングプールの IP アドレスと通信したことを検出しました。 考えられる原因は、サーバーが攻撃者によって侵入され、マイニングに使用されたことです。 |
内部ネットワークスキャン | 脅威検出モデルは、サーバー上のプロセスが短期間のうちに複数の内部 IP アドレスの指定されたポートに対してスキャンを開始したことを検出しました。 考えられる原因は、攻撃者がサーバーが侵害された後にラテラルムーブメント攻撃を開始しようとしたことです。 |
不審な機密ポートスキャン | 脅威検出モデルは、サーバー上のプロセスが短期間のうちに機密ポートに多数のネットワークリクエストを送信したことを検出しました。 この動作は、ポートスキャン動作である可能性があります。 |
異常トラフィック | 異常なトラフィック脅威検出モデルは、サーバー上のトラフィックを分析し、異常なトラフィックを検出しました。 異常なトラフィックは、エクスプロイト、マルウェア通信、機密データの侵害、不審なプロキシとトンネルによって発生する可能性があります。 アラートの詳細に基づいてトラフィックを処理することをお勧めします。 |
悪意のあるダウンロードソースへのプロアクティブな接続 | 脅威検出モデルは、サーバーが HTTP を使用して悪意のあるダウンロードソースに接続しようとしていることを検出しました。 考えられる原因は、攻撃者が弱いパスワードまたはコマンド実行の脆弱性を悪用して、リモートサーバーから悪意のあるファイルをダウンロードしたことです。 |
Windows での異常なネットワーク接続 | 脅威検出モデルは、サーバー上のプロセスの接続が異常であることを検出しました。 これは、トロイの木馬、ウイルス、または攻撃者に関連している可能性があります。 |
不審なアカウント | 不審なアカウントを使用したシステムログイン | 脅威検出モデルは、ユーザーが承認されていないアカウント、システム組み込みアカウント、または攻撃者アカウントを使用してシステムにログインしようとしていることを検出しました。 ログインは攻撃者によって実行される可能性があります。 |
セキュリティアラートの処理 ページの左上隅にある アイコンをクリックすると、モデルを表示できます。 これらのモデルは、ネットワーク攻撃の 12 段階全体にわたって、クラウドアセットに対する脅威をエンドツーエンドで検出するために使用されます。 段階には、攻撃ポータル、コード実行、永続化、権限昇格、防御回避などがあります。